Quero colocar na "lista branca" alguns dos falsos positivos do chkrootkit, por isso gostaria de usá-los /etc/chkrootkit.confcomo uma "lista branca".
Mas isso não funciona:
RUN_DAILY_OPTS="-q -e '/sbin/init /sbin/dhclient'
E ainda recebo os seguintes falsos positivos:
Warning: /sbin/init INFECTED eth0: PACKET SNIFFER(/sbin/dhclient (deleted)[…])
Eu sei que não é uma lista branca real, mas os falsos positivos não deveriam me enviar e-mails todos os dias.
chkrootkit version 0.49
Responder1
Você poderia colocá-los em um ...
/etc/chkrootkit.filter
Quando você coloca isso...
^eth0: PACKET SNIFFER\(/sbin/dhclient\[[0-9]*\])$
ele irá ignorar o dhclient na eth0. Adicione este arquivo ao /etc/cron.daily/chkrootkit. Encontrar ...
$CHKROOTKIT $RUN_DAILY_OPTS
com seu editor favorito e transforme-o em ...
$CHKROOTKIT $RUN_DAILY_OPTS | grep -v -f $FILTER || true
e (em algum lugar no início) adicione ...
FILTER=/etc/chkrootkit.filter
depois ...
CF=/etc/chkrootkit.conf
Antes de começar faça um...
./chkrootkit
Deve mostrar a referência falso positivo ao dhclient e após editá-lo execute-o novamente. A referência ao dhclient deve ter desaparecido.
Porém, lembre-se: qualquer coisa que você adicionar a isso e que seja infectada, você não será mais avisado. Portanto, tome cuidado com esse tipo de filtragem. Melhor seria fazer com que “eles” atualizassem suas definições.